Dell SonicWALL Security tips & tricks
Jan Ježek business communication s.r.o.
Příklady bezpečnostních rizik Pasivní útoky iniciované zvenku
Útoky na síťové úrovni
• Virus attacks, Malware & Spyware
• ARP, DNS poisoning
• SPAM, Phishing
• MAC & IP spoofing
• Exploit (OS, Web-browser)
• DNS rebinding
Aktivní útoky iniciované zvenku
Útoky proti webovým serverům
• Brute Force Attack
• Cookie Tampering
• DoS Attack
• CSRF (Cross Site Request Forgery)
• DDoS Attack
• XSS (Cross Site Scripting)
• Exploit (Servers)
• SQL Injections
Ukázka SQL Injection
Dell SonicWALL | Pokrytí bezpečnostních oblastí
Zabezpečení perimetru sítě a zón
Ochrana webových aplikací
Email Security & Compliance
Monitoring, analýza, reporting a management
Wireless Security
Vzdálený přístup
End-Point Security
Tipy proč si pořídit NG Firewall Dell SonicWALL • Reassembly-free Deep Packet Inspection™
NG NG Firewall Firewall
Remote Access
Web App Firewall
Email Security
Wireless Security
Endpoint Security
Management
Tipy proč si pořídit NG Firewall Dell SonicWALL • GUI: propracované a intuitivní webové rozhraní
NG NG Firewall Firewall
Remote Access
Web App Firewall
Email Security
Wireless Security
Endpoint Security
Management
Tipy proč si pořídit NG Firewall Dell SonicWALL • Široká škála konektivity
NG NG Firewall Firewall
Remote Access
Web App Firewall
Email Security
Wireless Security
Endpoint Security
Management
(Ne)obyčejné firewall rules | Jak lépe zabezpečit síť? • Firewall rules pro odchozí provoz – Často podceňované riziko: neomezený provoz LAN>WAN
• Firewall rules per user/group – Povolení odchozích portů pouze vybraným uživatelům nebo skupinám – Např. SSH, Terminal Services
• Omezení rizikových protokolů – Povolení pouze z vybraných serverů (interní DNS a NTP servery, interní mail-server) – Povolení pouze na vybrané servery (forwarded DNS servery, vyjmenovaná NTP)
• Omezení rizikových lokalit – Botnet & GeoIP filter pro příchozí i odchozí provoz – prevence data leakage!
• Omezení aplikací s vysokou mírou rizika • Hloubková inspekce SSL provozu – Typicky pro Exchange OWA
• Detekce vlastních objektů definovaných např. regulárním výrazem NG NG Firewall Firewall
Remote Access
Web App Firewall
Email Security
Wireless Security
Endpoint Security
Management
NG Firewall | Sledování L2/L3 anomálií, RFC compliance • DDoS detection & prevention – Detekce různých flood technik (TCP SYN, UDP, ICMP) – Blacklisting, Packet Proxy (SYN)
• DNS rebinding • ARP enforcement • MAC-IP Antispoofing • Detekce více DHCP serverů v segmentu • Vynucení dodržování standardů – IP/UDP header checksum – TCP handshake
NG NG Firewall Firewall
Remote Access
Web App Firewall
Email Security
Wireless Security
Endpoint Security
Management
Secure Remote Access | Bezpečný přístup do sítě • Přístup do sítě prostřednictvím SSL portálu (ActiveX, Java, HTML5) • Přístup prostřednictvím SSL-VPN klienta a Mobile Connectu • Ověření identity uživatelů – Integrace s LDAP – One-time passwords
• Ověření identity a integrity zařízení – End Point Control – – – – – – – –
Podpora mobilních platforem Zapnutý a aktualizovaný antivirus Nainstalovaná určitá aplikace Existující soubor s hash kontrolou Nainstalovaný klientský certifikát Existující klíč v registru Odpovídající identifikátor zařízení Detekce iOS Jail-break/Android Root
• Granulární nastavení přístupových oprávnění NG Firewall
Remote Remote Access Access
Web App Firewall
Email Security
Wireless Security
Endpoint Security
Management
NG Firewall & SRA | Jak zvýšit dostupnost? • Redundance zařízení (synchronizace konfigurace a spojení) • V režimu Active/Passive se licencuje pouze primární unita! Firewally nové generace • IPS load balancing, ISP failover
• Policy Based Routing (např. HTTP jinou linkou než ostatní provoz) • NAT policy balancing & failover Secure Remote Access appliance • Load balancing a Failover aplikačních serverů • Detekce dostupnosti (ICMP, TCP nebo HTTP check)
NG NG Firewall Firewall
Remote Remote Access Access
Web App Firewall
Email Security
Wireless Security
Endpoint Security
Management
Web Application Firewall | Prevence HTTP & HTML rizik • Firewall proti útokům specifickým pro HTTP a HTML protokoly – – – – – –
Injections (typicky SQL injection) Sessions hi-jacking (ruční uvedení session ID do parametru) XSS (cross-site scripting) & CSRF (cross-site request forgery) Nežádoucí přístupy a volání stránek nežádoucími metodami (POST, PUT…) Nechtěné publikování důvěrných dat Brute-force attacky (slovníkové útoky)
• Opatření proti rizikům „OWASP Top 10“ • Web Application Profiling – – – –
Detekce volaných URL a metod Sledování vstupních parametrů Automatické vytvoření pravidel Možnost doplnění vlastních omezení
• Data leakage prevention – Např. popis regulárním výrazem
NG Firewall
Remote Access
Web Web App App Firewall Firewall
Email Security
Wireless Security
Endpoint Security
Management
Email Security & Compliance | Prevence data leakage Email Security • Ochrana serverů před útoky – Sada AntiSPAMových technik – Omezení počtu zpráv z odesílající IP, whitelisting/blacklisting – Ochrana před útoky typu Directory Harvesting Attack
• Ochrana uživatelů před nežádoucím obsahem – Antivirus, AntiSPAM, detekce phishingu – Výměna zkušeností s cloudovými službami (Zero-day protection) – Karanténní úložiště
Email Compliance • Ochrana informací před (ne)úmyslným odesláním – Sada pravidel pro nakládání s informacemi – Detekce obsahu a metainformací zpráv a jejich příloh – Odmítnutí odeslat zprávu nebo její předání příslušným osobám ke schválení
NG Firewall
Remote Access
Web App Firewall
Email Email Security Security
Wireless Security
Endpoint Security
Management
Wireless Security | Jak zabezpečit bezdrátovou síť? • Prevence lidské chyby v konfiguraci – centrální řízení z firewallu – Firewallová pravidla na jednom místě – Automatický provisioning AP dle jejich nastavení
• Striktní oddělení provozu a oprávnění jednotlivých SSID • Implementace RADIUS pro interní síť – Snadná cesta k ověření uživatelů z LDAP serveru
• Guest Services pro návštěvnickou síť – Přihlašovací údaje s omezenou časovou platností
• Detekce a blokování provozu nežádoucích AP – Obecná detekce okolních AP – Detekce „Evil twins“ – Filtr na L2/L3 úrovni ve spolupráci s firewallem
NG Firewall
Remote Access
Web App Firewall
Email Security
Wireless Wireless Security Security
Endpoint Security
Management
End-Point Security | Jak zabezpečit pracovní stanice? • Enforced Anti-Virus – Vynucení instalace antiviru (speciální edice McAfee AV) – Vynucení zapnutí antiviru a aktuálnosti virové databáze – Při nesplnění podmínek není povolení přístup do WAN (vyjma aktualizace antiviru)
• Enforced Content Filter – Vynucení instalace CFS agenta – Při nesplnění podmínek není povolení přístup do WAN (vyjma instlace agenta) – Nastavení si klientské zařízení odnáší i mimo dosah firewallu
• Centrální řízení a monitoring – Management portál s online reportingem incidentů
• Rozšířená ochrana a šifrování pracovních stanic – Dell Data Protection portfolio
NG Firewall
Remote Access
Web App Firewall
Email Security
Wireless Security
Endpoint Endpoint Security Security
Management
Global Management System | Centrální správa • Monitoring a management jednoho nebo více zařízení • Granulární oprávnění do jednotlivých unit a jednotlivých částí nastavení • Vlastní hierarchie unit – Hromadné aplikování dědičných změn – Rollout změn
• Automatické zálohování konfigurací • Plánování času provedení změn
NG Firewall
Remote Access
Web App Firewall
Email Security
Wireless Security
Endpoint Security
Management Management
Je lepší být o krok napřed http://livedemo.sonicwall.com
Jan Ježek business communication s.r.o. | www.bcom.cz